Zyxelのレガシールーターに重大な脆弱性 絶賛悪用中のため急ぎ対処を：Cybersecurity Dive

ネットワーク機器メーカーのZyxelはユーザーに対し、サポート終了した古いデバイスの脆弱性がサイバー攻撃に悪用されていることを受け、最新のサポート対象のバージョンに置き換えるよう促している。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティ事業を営むVulnCheckの研究者は2025年2月4日（現地時間、以下同）のブログ投稿で「ZyxelのCPEシリーズのデバイスにおける脆弱（ぜいじゃく）性は、サポート終了となったルーターに関係しており、現在も悪用が続いている」と述べた（注1）。

対象ルーターのサポートは終了済み　急ぎ交換を

　サイバーセキュリティ企業GreyNoiseの研究者は2025年1月末に、「CVE-2024-40891」として追跡されているこの脆弱性が現在も悪用されており、まだパッチが適用されていないこと、またメーカーが正式に開示していないことを警告した（注2）。その後、研究者たちは、botネット「Mirai」の特定の亜種に「CVE-2024-40891」を悪用する手法が組み込まれていることを確認した。

　Zyxelは「CVE-2024-40890」および「CVE-2024-40891」（注3）（注4）、「CVE-2025-0890」として追跡されている脆弱性が（注5）、すでに数年前にサポート終了となった特定のDSL CPEのモデルに影響を与えることを確認した。2025年2月4日に公開された通知によると（注6）、同社はユーザーに対し、レガシー製品を最新のサポート対象のバージョンに置き換えるよう促している。

　「CVE-2024-40891」は重大なコマンドインジェクションに関連する脆弱性であり、VulnCheckの研究者が2024年8月に最初に公表したものだ。VulnCheckとGreyNoiseの研究者は、本脆弱性を共同で確認し、メーカーが公表やパッチの提供を行っていないことを受けて、GreyNoiseは2025年1月下旬にこの欠陥を明らかにした。

　この脆弱性により、攻撃者が任意のコマンドを実行できるようになる恐れがある。攻撃者はデータの流出やシステムの侵害など悪用後にさまざまな活動が実行可能となる。

　VulnCheckの研究者はZyxelに懸念を伝えており、当初は何らかの協力が得られ情報開示されることを期待していた。しかしZyxelの担当者は公表せず、度重なるコメントの要請にも応じていない。

　VulnCheckのジェイコブ・ベインズ氏（最高技術責任者）は、Cybersecurity Diveに対し電子メールで「Zyxelとのやりとりの大半は、公表内容の調整に関するものだった」と述べた。

　ベインズ氏によると、対象のデバイスがサポート終了となっているため、メーカーがパッチを提供する可能性は低いという。

　これらのルーターの大半は家庭向けだが近年、脅威グループはさまざまなエッジデバイスを悪用し、「Living Off The Land」（環境寄生型攻撃）の技術を使って（電力やガス、鉄道、空港などの）重要インフラを標的にしている。

　VulnCheckの研究者はブログ投稿で、認証済みのコマンドインジェクション自体の影響は限定的だとしながらも、問題のデバイスは「デフォルトアカウントでプロビジョニングされているようだ」と指摘した。

　そのため、この問題には「CVE-2025-0890」という識別子が割り当てられた（注7）。この脆弱性は、レガシーなDSL CPE「VMG4325-B10A」のファームウェアにおいて、Telnet機能に安全でないデフォルトの認証情報が設定されていることに関連している。

（注1）Zyxel Telnet Vulnerabilities（VulnCheck）
（注2）Attackers exploit zero-day vulnerability in Zyxel CPE devices（Cybersecurity Dive）
（注3）CVE-2024-40890（CVE）
（注4）CVE-2024-40891（CVE）
（注5）CVE-2025-0890 Detail（NIST）
（注6）Zyxel security advisory for command injection and insecure default credentials vulnerabilities in certain legacy DSL CPE（Zyxel）
（注7）CVE-2025-0890 Detail（NIST）